資安新聞及事件週報 2016/09/12 ~ 2016/09/16

**1.重大弱點漏洞：**
  MySQL驚爆零時差漏洞，殃及MariaDB與Percona DB
  http://www.ithome.com.tw/news/108454

  微軟一口氣修補47個漏洞，包含藏匿至少8年的Detours漏洞
  http://times.hinet.net/news/19285301

  VMware Workstation Pro 及 Player 多個漏洞
  http://securitytracker.com/id/1036805
  http://www.vmware.com/security/advisories/VMSA-2016-0014.html

  MySQL 權限提升漏洞
  http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
  http://securitytracker.com/id/1036769


  Hello, Fortinet? Could you patch these vulns please
  http://www.theregister.co.uk/2016/09/07/hello_fortinet_could_you_patch_these_vulns_please/

  Internet of Sins: Million more devices sharing known private keys for HTTPS, SSH admin
  http://www.theregister.co.uk/2016/09/07/bad_key_security_holes_getting_worse/

  Bad news: MySQL can dish out root access to cunning miscreants
  http://www.theregister.co.uk/2016/09/13/mysql_security_bug/

  SOHOpeless Seagate NAS boxen become malware distributors
  http://www.theregister.co.uk/2016/09/12/sohopeless_seagate_nas_boxen_become_malware_distributors/

**2.銀行資安：**
  比特幣被盜刷近70萬 平台被指存漏洞遭索賠
  http://news.sina.com.tw/article/20160912/18616363.html

  結合FinTech 網路投保率衝5％
  http://www.chinatimes.com/newspapers/20160912000060-260202

  KPMG安侯建業調查報告：看好前景 台灣產業轉型要靠ICT
  http://www.chinatimes.com/newspapers/20160912000130-260210

  第一波 三產險完成資安金檢
  http://money.udn.com/money/story/5613/1957516

  監管新技術 北富銀擬引進
  http://money.udn.com/money/story/5613/1957524

  一銀倫敦分行5月遭駭　但查不出攻擊來源
  http://www.appledaily.com.tw/realtimenews/article/new/20160913/947897/

  一銀盜領案 金管會罰1千萬並停無卡提款業務
  http://udn.com/news/story/6/1959058

  HPE在台攜手大學開設專班，養成FinTech人才
  http://www.bnext.com.tw/article/view/id/40946

  銀行育才 開FinTech產學班
  http://udn.com/news/story/7239/1960166

  一銀補破網 四面向升級資安
  http://udn.com/news/story/7238/1960194

  從第一銀行遭駭 談金融業如何強化資安
  http://www.chinatimes.com/newspapers/20160914000072-260202

  公股銀行徵才季 資安、法遵大熱門
  http://udn.com/news/story/7239/1964286

  ATM實兵演練 下月啟動
  http://money.udn.com/money/story/5648/1964432

  一銀案 駭客從倫敦分行電話錄音主機下手
  http://news.ltn.com.tw/news/society/breakingnews/1824853

  一銀盜領案 8國聯軍22人輪番來台
  http://www.chinatimes.com/realtimenews/20160913005659-260402

  東歐駭客用4程式令ATM吐鈔並滅證
  http://times.hinet.net/news/19283909

**3.資安事件新聞：**
**A.病毒木馬：**
    惡意程式橫行 藏於用家常用程式內 Facebook 及Google Play 成駭客目標
    http://www.hkepc.com/14444/%E6%83%A1%E6%84%8F%E7%A8%8B%E5%BC%8F%E6%A9%AB%E8%A1%8C_%E8%97%8F%E6%96%BC%E7%94%A8%E5%AE%B6%E5%B8%B8%E7%94%A8%E7%A8%8B%E5%BC%8F%E5%85%A7_Facebook_%E5%8F%8AGoogle_Play_%E6%88%90%E9%A7%AD%E5%AE%A2%E7%9B%AE%E6%A8%99

    Check Point抽絲剝繭 揭秘全球最大勒索軟體之一--Cerber背後的複雜金流動向
    http://www.runpc.com.tw/industrial_info.aspx?id=1011644

**B.行動安全：**
    玩家注意，寶可夢系統再次傳出漏洞，玩家遭變性、降級
    https://cn.novelfeed.com/article/92l1do2k/%E7%8E%A9%E5%AE%B6%E6%B3%A8%E6%84%8F-%E5%AF%B6%E5%8F%AF%E5%A4%A2%E7%B3%BB%E7%B5%B1%E5%86%8D%E6%AC%A1%E5%82%B3%E5%87%BA%E6%BC%8F%E6%B4%9E-%E7%8E%A9%E5%AE%B6%E9%81%AD%E8%AE%8A

    Google確認Android平台兩項系統漏洞 預計下週修正
    https://contentparty.org/r/61fac6b4259b36be4d1fcc00c3f40c41

    Android又爆嚴重漏洞：打開美人圖即可中招
    https://hk.news.yahoo.com/%E7%BE%8E%E4%BA%BA%E8%A8%88%E7%A7%91%E6%8A%80%E7%89%88-android%E5%8F%88%E7%88%86%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E-%E6%89%93%E9%96%8B%E7%BE%8E%E4%BA%BA%E5%9C%96%E5%8D%B3%E5%8F%AF%E4%B8%AD%E6%8B%9B-010008217.html

    惡意程式滲透Google Play，可能殃及250萬Android用戶
    http://www.ithome.com.tw/news/108406

    朋友分享你的影片給你？Facebook影片病毒散播又來了
    http://www.bnext.com.tw/article/view/id/40924

    不知不覺被社群網路出賣了嗎?快用Dr. Safety檢測自己的社群設定吧
    http://blog.trendmicro.com.tw/?p=29041

    Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣
    http://blog.trendmicro.com.tw/?p=28876

    Facebook連結病毒又來了 專家教2招自保
    http://www.cna.com.tw/news/firstnews/201609120363-1.aspx

    臉書惡意釣魚影片別急著打開，小心身分遭竊殃及朋友
    http://www.ithome.com.tw/news/108412

    GOOGLE 以 35 萬美金懸賞破解旗艦手機 NEXUS 6P 和 5X
    https://news.xfastest.com/google/25683/google-offering-a-reward-of-35-million-dollars-to-break-flagship-phone-nexus-6p-and-5x/
   
    iOS 10更新傳災情！部分使用者升級失敗導致手機癱瘓，蘋果：該漏洞已修復
    http://www.bnext.com.tw/article/view/id/40955

  
**C.事件：**
    如何扮演一個稱職的企業資安人員
    http://www.ithome.com.tw/news/108014

    網路威脅情報正流行
    http://www.ithome.com.tw/news/108022

    全球最大DDoS服務vDOS兩年進帳逾60萬美元，兩名18歲首腦被逮
    http://www.ithome.com.tw/news/108403

    以色列 DDoS 業務公司被駭，經營者被補
    http://technews.tw/2016/09/13/israeli-ddos-firm-is-hacked-and-operators-is-arrested/

    兩廳院遭駭！ 誆「重複訂票，未付款」 詐會員87萬
    http://news.ebc.net.tw/news.php?nid=35730

    Dropbox再呼籲從未改密碼的用戶盡快更新　以免駭到你
    http://www.ettoday.net/news/20160913/774085.htm

    WADA資料庫遭駭　運動員藥檢資訊外流
    http://www.tsna.com.tw/tw/news/show.php?type=1&num=4787

    微軟IE 11將開始封鎖舊版Flash
    http://www.ithome.com.tw/news/108478

    Adobe修補29個Flash安全漏洞
    http://www.ithome.com.tw/news/108487

  **D.資料外洩：**
    網購訂單信息有這13種泄露途徑 你都清楚嗎
    http://news.cnyes.com/news/id/3537598

 **E.研究報告：**
    IPS Community Suite PHP遠程代碼執行漏洞分析(CVE-2016-6174)
    http://www.moonsec.com/post-712.html

    走近科學：分析漏洞利用工具包（EXP）家族成員Archie和Astrum
    http://www.thinksaas.cn/topics/0/665/665411.html

    【技術分享】 ​IE瀏覽器漏洞利用技術的演變
    http://bobao.360.cn/learning/detail/3021.html
    http://www.52bug.cn/post-1575.html

    Microsoft Windows內核提權漏洞原理分析與利用(CVE-2016-3308 / ZDI-16-453)
    http://bobao.360.cn/learning/detail/3024.html

    攻擊者可利用MySQL零日漏洞控制數據庫（含POC）
    https://www.easyaq.com/newsdetail/id/1316433045.shtml

    【技術分享】關於Python漏洞挖掘那些不得不提的事兒
    http://bobao.360.cn/learning/detail/3028.html

  **F.商業：**
    Juniper朝軟體定義網路安全方向發展 機器學習結合雲沙箱 比對情資觸發即時防禦
    http://www.netadmin.com.tw/article_content.aspx?sn=1609060004

    SonicWALL全產品線納入抗新型態威脅能力 Capture ATP雲端服務 三引擎沙箱嘉惠小企業
    http://www.netadmin.com.tw/article_content.aspx?sn=1609060005

    Forcepoint 網頁安全閘道虛擬設備提供內部與外部風險分析，並能推估未來情勢
    http://www.ithome.com.tw/review/107940

    趨勢網頁安全閘道虛擬設備可防護HTTP、HTTPS與FTP協定的網路存取行為
    http://www.ithome.com.tw/review/107948

    VMware 2.0
    http://www.ithome.com.tw/article/108375

    網頁安全閘道虛擬設備採購大特輯
    http://www.ithome.com.tw/article/107945

    行政院主計總處「網路架構升級暨資安防護強化案」財物採購案
    http://gov.playgroup.com.tw/gov_notice/20160913022178782588

    資訊服務新兵報到！普鴻資訊搭金融科技列車今登興櫃
    http://news.cnyes.com/news/id/3541274

    甲骨文將放棄NetBeans，轉交給Apache
    http://www.ithome.com.tw/news/108502

 **G.其他：**
    四駭客竊取40萬組私人訊息獲利7萬 最小僅16歲
    http://www.gegugu.com/2016/09/12/12860.html

    360專家稱網站漏洞導致電信詐騙猖獗
    http://news.sina.com.tw/article/20160912/18620037.html

    網路詐騙 資安專家認栽
    http://udn.com/news/story/6809/1962038

    電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財
    http://blog.trendmicro.com.tw/?p=28853

    臉書詐騙別上當！第三方支付漏洞　賣演唱會門票詐百萬
    http://www.setn.com/News.aspx?NewsID=181414

    當駭客們互駭 – 在法國地下世界上演的戲碼
    http://blog.trendmicro.com.tw/?p=28879
  
    政院資安管理 鎖定八領域
    http://money.udn.com/money/story/5648/1964431
   
    Wind Forum 2016 聚焦物聯網、智慧製造和軟體定義技術的發展
    http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?CnlID=13&cat=10&id=0000481567_V0E67LXL53M07U80AEPGY&ct=1

    培育資安先鋒 微軟彰化設「未來學校」
    http://udn.com/news/story/6886/1957390
    
    台灣駭客奪旗賽 十月開打、爭全球賽門票
    http://news.ltn.com.tw/news/life/breakingnews/1823655
   
    想買車上知名網站比價小心上當
    http://blog.trendmicro.com.tw/?p=29044

    用Raspberry Pi安裝Kali Linux 打造隨身無線滲透測試機 安全不能只靠Wi-Fi密碼 實驗證明極易比對破解
    http://www.netadmin.com.tw/article_content.aspx?sn=1609070002

    政院資安管理法草案出爐 公務員未做好防護將懲處
    http://news.ltn.com.tw/news/politics/paper/1032758

    「獨狼」式恐攻威脅大 美對IS發動網路戰布局殲敵
    http://big5.soundofhope.org/node/900805

    打開網絡攻擊第一步：動動腦筋、大家也可是社交工程學專家
    http://sina.com.hk/news/article/20160915/5/45/49/%E6%89%93%E9%96%8B%E7%B6%B2%E7%B5%A1%E6%94%BB%E6%93%8A%E7%AC%AC%E4%B8%80%E6%AD%A5-%E5%8B%95%E5%8B%95%E8%85%A6%E7%AD%8B%E5%A4%A7%E5%AE%B6%E4%B9%9F%E5%8F%AF%E6%98%AF%E7%A4%BE%E4%BA%A4%E5%B7%A5%E7%A8%8B%E5%AD%B8%E5%B0%88%E5%AE%B6-6307280.html

    專長發揮錯了！寫程式搶月餅 阿里巴巴4人被炒
    http://udn.com/news/story/7331/1960138
   
    港鐵舊款售票機遭「騙」8.8萬元　疑犯手法初曝光
    http://www.post852.com/178057/%E6%B8%AF%E9%90%B5%E8%88%8A%E6%AC%BE%E5%94%AE%E7%A5%A8%E6%A9%9F%E9%81%AD%E3%80%8C%E9%A8%99%E3%80%8D8-8%E8%90%AC%E5%85%83%E3%80%80%E7%96%91%E7%8A%AF%E6%89%8B%E6%B3%95%E5%88%9D%E6%9B%9D%E5%85%89/#!

    GitHub更新大改版，新增專案管理工具讓開發者輕易掌握工作流程
    http://www.ithome.com.tw/news/108503

**4.近期資安活動及研討會**

  2016軟體品質與APP資安研討會 9/19   9/29
  http://www.communications.org.tw/news/conference/item/8889-0919.html

  黑魔法防禦術1-3 - 網路架構基礎 2016/09/17 15:00 ~ 17:00
  http://tdohackerparty.kktix.cc/events/realdefense1-3

  智慧監控大未來 | AWSxSmart Monitoring Nextlink說明會 2016年9月20日 14:00-17:00
  http://www.accupass.com/go/nextlink_0920

  IoT物聯網市場趨勢與北美測試要求研討會   2016年9月21日(三) 13:00~17:00
  https://docs.google.com/forms/d/e/1FAIpQLSfH7CmDtHzsQ9eDZHqKpn84UUzUWQD4yGJrtFMOoTh0PFzpxw/viewform?c=0&w=1

  Container Summit 2016 9/21(三)~9/22(四) 09:00~17:00
  http://www.ithome.com.tw/seminar

  TWISC@NCKU 教育訓練 2016/09/22 ~ 2016/09/23
  http://twiscncku.kktix.cc/events/d903ee1e

  Veritas & AWS雲端備份與災難復原研討會 2016年9月22日  14:00-16:45 (13:30 開放入場)
  https://veritasevents.verite.com/23347/31131

  思科線上風雲會：科技最前線 商機大無限-行動飆網任我行
  https://goo.gl/Pez6Hk

  ISDA 白帽菁英入門〈1+2〉1015
  https://reg.shield.org.tw/info.php?no=6

  2016 ithome security forum 透視資安威脅-防微杜漸，遠離災禍 2016 年 9 月 30 日（五）13：30 - 17：00
  http://seminar.ithome.com.tw/live/20160930/index.html

  TDOH 2016 南區大型 WorkShop 10/1 09:00~17:30
  http://tdohackerparty.kktix.cc/events/tdoh-workshop-20161001

  HPE自適應備份與復原產品說明會 10/7(五) 14:00– 15:50
  http://seminar.ithome.com.tw/live/1007hpe/index.html